Toko Aplikasi Dumpster Diving | NordVPN

Toko Aplikasi Dumpster Diving | NordVPN

Apa itu inspeksi penyimpanan?

Aplikasi memiliki memori – data yang dihasilkan dari proses aplikasi kemudian disimpan dalam file aplikasi baik di perangkat maupun di cloud. Jika aplikasi tidak disiapkan dengan aman, peretas dapat membobol file tersebut dan mengambil data sensitif.

Peretas topi putih — orang yang mencari kerentanan agar dapat memperbaikinya — juga dapat menggunakan metode ini selamanya. Dengan menjelajahi toko aplikasi seluler dan desktop serta memeriksa konten file instalasi, mereka dapat mengungkap potensi risiko dan menjaga keamanan pengguna.

Hapus memori

Langkah pertama dalam proses pemeriksaan adalah mengekstraksi memori dari aplikasi. Pada sistem operasi Windows, ini sangat sederhana: kita cukup membuka pengelola tugas dan membuat file dump.

MacOS, di sisi lain, mengharuskan kita untuk boot ke mode pemulihan dan menonaktifkan Perlindungan Integritas Sistem. Fungsi ini melindungi proses dari perubahan atau manipulasi. Kemudian kita dapat membuat dump proses.

Dump menjadi sedikit lebih rumit saat kami mendekati aplikasi seluler. Perangkat seluler biasanya memerlukan hak akses root untuk mengekstrak konten dari memori aplikasi menggunakan alat Frida.

Setelah langkah ini, Anda akan mendapatkan file TXT atau DMP yang berisi memori yang diekstraksi. Sebaiknya jalankan file ini melalui utilitas string untuk memfilter string yang dapat dibaca manusia dengan panjang tertentu, karena dump mungkin berisi karakter non-ASCII.

Mencari rahasia

Setelah kita mengosongkan memori, kita dapat bekerja dengan apa yang kita miliki. Kami sekarang terutama mencari informasi yang mengungkapkan hal-hal berikut:

  • nilai identifikasi sesi
  • token akses
  • Kredensial akun layanan
  • Informasi Identifikasi Pribadi
  • kata sandi otentikasi
  • String koneksi basis data
  • Kunci enkripsi dan rahasia kunci lainnya
  • Data dengan klasifikasi keamanan yang lebih tinggi daripada sistem logging dapat disimpan
  • Informasi Bisnis yang Relevan
  • Informasi yang pengumpulannya ilegal di yurisdiksi yang berlaku
  • Informasi yang pengguna pilih untuk tidak dikumpulkan atau tidak disetujui

Informasi sensitif yang tercantum di atas dapat digunakan oleh pelaku jahat untuk keuntungan mereka sendiri. Jika informasi ini tersedia melalui pemeriksaan memori, maka masalahnya adalah salah satu yang perlu diperbaiki.

Ini juga merupakan ide bagus untuk menggunakan skrip otomatis yang mampu memilih token akses yang berbeda, kunci API, dan nilai lainnya. Misalnya, aturan regex berikut dapat digunakan untuk menemukan kunci AWS:

((‘|\”)((?:ASIA|AKIA|AROA|AIDA)([A-Z0-7]16))(‘|\”).*?(\n^.*?)4((‘|\”)[a-zA-Z0-9+/]40(‘|\”))+|(‘|\”)[a-zA-Z0-9+/]40(‘|\”).*?(\n^.*?)3(‘|\”)((?:ASIA|AKIA|AROA|AIDA)([A-Z0-7]16))(‘|\”))+

Sumber: Saya memindai setiap paket di PyPi dan menemukan 57 kunci AWS langsung | Tom Forbes

Pahami risikonya

Dengan banyaknya aplikasi yang kini menyimpan data dan menjalankan proses di cloud, risiko yang ditimbulkan oleh peretas yang membuang penyimpanan aplikasi di tempat sampah bahkan lebih besar. Jika penyerang menemukan kredensial akun layanan, kunci Google API, dan URL Firebase di dump, mereka dapat menggunakannya untuk keuntungan mereka.

Biasanya, kredensial akun layanan digunakan untuk mendapatkan konfigurasi jarak jauh aplikasi. Jika penyerang mendapatkan kredensial yang valid untuk mengakses sistem cloud yang tidak dikonfigurasi dengan benar, tidak ada perlindungan firewall yang dapat mencegah mereka mengakses sumber daya komputasi, jaringan, dan penyimpanan di lingkungan cloud tersebut.

Namun, perlu diperhatikan bahwa meninggalkan kunci akun di memori tidak menjadi masalah selama IAM dikonfigurasi dengan benar dan prinsip hak istimewa terkecil diterapkan.

Penguji penetrasi harus memperhatikan jumlah token yang tersisa di penyimpanan aplikasi, serta izin akun layanan, karena keduanya bisa sama berbahayanya dengan mengekspos kredensial akun layanan.

Bahkan jika kami tidak menemukan kerentanan apa pun, pemeriksaan memori tetap bermanfaat. Kami mungkin menemukan token atau akun yang tidak terpakai yang tidak lagi diperlukan. Dengan menghapusnya, biaya dapat dikurangi dan risiko keamanan berkurang.

Perbaiki kerentanan

Tujuan inspeksi penyimpanan adalah untuk menemukan potensi kerentanan dan data sensitif yang mungkin terekspos. Selanjutnya, kerentanan tersebut harus dihilangkan.

Saat memecahkan masalah memori, prinsip hak istimewa paling rendah harus diterapkan. Simpan hanya data yang benar-benar Anda butuhkan dan buang yang lainnya. Ini adalah konsep sederhana yang membatasi kemampuan Anda untuk mengungkapkan informasi sensitif.

Audit penyimpanan aplikasi dapat dianggap sebagai tugas kecil di dunia keamanan siber. Namun, informasi yang disimpan atau diproses di penyimpanan pelanggan tersedia untuk administrator dan harus ditinjau secara berkala oleh penyedia.

Kita semua membuat kesalahan dan masuk akal untuk memeriksanya secara teratur. Ini tidak hanya membantu kami menemukan dan memperbaiki bug, tetapi juga memperdalam pemahaman kami tentang cara kerja bagian dalam aplikasi.